上古卷轴,WinRAR缝隙CVE-2018-20250进犯样本剖析,网红

一、布景

近期截获极品女友一例运用最新发布WinRAR缝隙(CVE-2018-20250)的侵犯样本,文件名为Meeting summary.rar。该歹意ACE紧缩上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红文件内含一个名为Meeting summary上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红的Office Word文档,诱使受害者直接解压开释该文件。

用WinRAR翻开后该紧缩档包括内容如下所示。

在winrar内一向点击进入目录安娜金斯卡娅可看到star春药有哪些tups.exe的详细信息,如下图所示。

当受害者经过WinRAR直接儿童谜语300则解压该文件便会触发该缝隙,然后开释内置的歹意程序(startups.exe)到用户windows体系的发动目录内,然后使得下次重启体系的时分该歹意程序能主动发动运转。

菜温斯基

二、startups.exe程序分析 文件名 经侦大队办案问话流程startups.exe MD5 7706640ac741740d1e5521ed671e8904 SHA1 59773b72caefa9f882a8602a19d9210fa9ad1f65

startups.exe程序履行后首先会删去曾经生成的文件。在暂时目录下查找以.ocra-delete-me完毕的文件并删去之。

通蓝天航空空姐过GetModuleFileName获取可履行文件全途径文件名。

然后获取exe地点的目录称号。

设置环境变量OCRA_EXECUTABLE。

翻开exe文件并映射到内存。

判别文件标志0x41B6BA4E,EXE文件是否是以该四个字节为完毕。

运用winhex翻开startups.exe,能够看到startups.exe的确以该4个字节完毕。

读取操作标志号地点的方位(文件尾部倒数第8个方位开端的四个字节),从上图咱们能够看到标志号地点的方位是00000cams49600,也便是从e上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红xe文件偏移00000960处取值,startups.exe中取值是000000004。

履行000000004操作号相应操作,该操作是运用LZMA算法进行文件解紧缩。

在解紧缩函数004爱情面包房032c0操作后,解压后的内存部分数据如下所示。

在解紧缩数据中读取操作标志号,如上图中开端的4个字节为000000001,该操作是创立目录。上图中能够上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红看到创立的目录是src目录。然后是操作标识号为0000000顾烟江辰希02,表明的是创立文件,上图中紧跟这以后的文件名为src\buby.rb。

如此一来,就把解压数据中包括的一切目录和文件创立到体系暂时目录下相应的方位。

随后,经过操作标识号000000006进行进程创立动作。创立发动的进程是bin目录下的rubyw.exe(ruby程序),参数是src\ruby.rb。

IDA代码如下:

ruby.rb的内容如下:

上面代码的运用https拜访https://66.42.33.59:443/#WEZf的内容,然后经过RtlMoveMemory、Crea上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红teThread创立并发动线程。

惋惜的是,该URL现在现已无法衔接,因而无法分析进一步的恶锚草论意负载。

此外,经过网络查找,发现上述分析中常常发现的OCRA字符串其实是一个开源项目。OCRA(OneClick Ruby Application Builder)是一个将.rb文件打包为可sw168履行文件的gem,生成的EXE可脱离stopcastingRuby环境运转。其原理是将Ruby程序运转所需的解说器、gems等悉数打包“带走”。

常用参数如下:

–windows 不显现控制台(rubyw.exe)

–console 显现控制台 (邓晶默许,ruby.exe)

–dll dllname 包括Ruby的bin目录中指定的DLL

–no-lzma 打包时禁用LZMA紧缩

–q马化腾老婆陈碧婷图片uiet 不显现打包进展

–help 检查ocra协助

–no-autoload 不包括脚本中autoload的项目

–icon 用自定义的ico替换掉默许的红宝石图标

由此,startups.exe其实便是一个由OCRA转化过来的exe文件。

三、完毕语

1、运用winrar(CVE-2018-2沈美溪0250)缝隙;

2、运用OCRA将RB代码转化成EXE程序;

3、后续的歹意代码也是运用RB言语。

上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红

能够预期,运用WinRAR缝隙(CVE-2018-20250)传达歹意程序的侵犯行为将益发兴旺。此外,运用开源结构(本文OCRA)完成歹意代码加载或许成为一种趋势。

用户要对后缀名为rar的压热泵热水器价格缩文档加强警觉,主张未晋级winrar补丁的用户立马更新winarar新版本或许删去UNACEV2.DLL文件使其无法支撑ACE格局。此外,主张修正winrar运用习气,不要在未明的情况下直接右键解压开释。主张双击翻开后,上古卷轴,WinRAR缝隙CVE-2018-20250侵犯样本分析,网红看清楚联通刷钻紧缩包的详细信息后在解压。

AR
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
综影视闻说